News

Cloud-Sicherheit: Das vernachlässigte Kind der Cybersicherheit?

Nicolas Bessi | © Nicolas Bessi
Nicolas Bessi
25.03.2025

Eine überraschende Beobachtung

Nach dem Besuch mehrerer Cybersicherheitskonferenzen, zuletzt der Insomni’Hack 2025, wurde ein Paradoxon besonders deutlich: Obwohl mehr als die Hälfte aller Unternehmenssysteme und ein Grossteil des Internets auf Cloud-Infrastrukturen basieren, sind Themen wie Cloud-Sicherheit in Diskussionen, Konferenzen, CTFs und Workshops nach wie vor stark unterrepräsentiert. Warum besteht diese Lücke – gerade in einer Zeit, in der Themen wie KI und regulatorische Anforderungen die Gespräche dominieren und untrennbar mit Cloud-Infrastrukturen verbunden sind? Hier einige Überlegungen.

Ein weites und komplexes Feld

Cloud-Sicherheit ist ein sehr umfangreiches Thema und umfasst viele Bereiche:

  • FinOps und Ressourcenmanagement
  • Architektur und Netzwerke
  • CI/CD und Automatisierung
  • Compliance und Sicherheits-Posture
  • Container und Service Security
  • Identitäts- und Zugriffsmanagement (IAM)
  • DevOps-Prozesse und Workflow Management
  • Erkennung und Reaktion auf Vorfälle

Diese breite Landschaft macht Cloud-Sicherheit zu einem „Dachbegriff“, der ein tiefes Verständnis verschiedener Technologien voraussetzt – noch bevor spezifische Sicherheitsfragen adressiert werden können.

Die Fragmentierung der Cloud-Plattformen

Ein weiterer Grund für die geringe Sichtbarkeit der Cloud-Sicherheit ist die Fragmentierung der Cloud-Landschaft. Anders als Technologien wie Kubernetes, die weitgehend standardisiert sind, verfolgt jeder Hyperscaler (AWS, Azure, GCP etc.) eigene Paradigmen und Technologien. Ein einfaches Beispiel: Die Nutzung eines verwalteten PostgreSQL-Dienstes auf AWS, GCP oder Azure ist jeweils ein völlig anderes Erlebnis. Die Produkte unterscheiden sich stark in Konfiguration, Netzwerkintegration, Preisgestaltung, Backup-Strategien und Replikationsparadigmen. Tiefes Fachwissen auf einer Plattform ist nicht ohne Weiteres auf eine andere übertragbar – was es schwierig macht, plattformübergreifende Vorträge oder Schulungen anzubieten.

Hohe Kosten für Cloud-Security-Events

Die oben genannten Herausforderungen führen dazu, dass Cloud-Security-Events oder CTFs sehr kostenintensiv sind. Spannende Multi-Cloud-Challenges erfordern erhebliche Ausgaben für Cloud Credits und Infrastruktur, was viele Veranstalter abschreckt.

 

Wie lässt sich der Trend umkehren?

Fokus auf zugängliche Themen

Statt sich nur mit komplexen Angriffen oder lateralen Bewegungen zu beschäftigen, könnten praxisnahe Themen – wie das Vermeiden von Kostenexplosionen durch DevOps-Fehler – ein breiteres Publikum ansprechen.

Frühe Sensibilisierung und Bildung

In der Ausbildung von IT- und Sicherheitsexpert:innen wird das Thema Cloud-Infrastruktursicherheit noch kaum behandelt. Eine stärkere Integration in Studiengänge und das Angebot spezialisierter Bootcamps könnten helfen, künftige Fachkräfte gezielt zu schulen.

Anerkannte und zugängliche Zertifizierungen fördern

Zertifizierungen, wie AWS Security Specialty, Google Professional Cloud Security Engineer oder Azure Security Engineer, sind zwar vorhanden, gelten aber oft als teuer und schwer zugänglich. Mikro-Zertifizierungen oder gesponserte, kostengünstige Schulungen könnten zur breiteren Verbreitung beitragen.

Open-Source-Inhalte und kostenlose Übungslabore finanzieren

Multi-Cloud-CTFs sind teuer – aber das Bereitstellen von Open-Source-Testumgebungen (z.B. mit Terraform, Kubernetes, verwundbaren Containern) als lokal ausführbare Challenges könnte mehr Fachleute zur Praxis ohne hohe Infrastrukturkosten motivieren.

Erfahrungsaustausch fördern (Post-Mortems, Lessons Learned)

Konferenzen stellen häufig ausgeklügelte Angriffe in den Vordergrund, reale Vorfälle in der Cloud-Sicherheit werden hingegen selten thematisiert. Anonymisierte Post-Mortems und geteilte Erfahrungsberichte könnten zur Verbreitung von Best Practices beitragen.

„Security as Code“ und Automatisierung vorantreiben

Trotz DevOps-Adaption erfolgt Cloud-Sicherheit noch oft manuell. Die Präsentation von Automatisierungs-Tools (IaC Security, Policy as Code, CNAPP, CSPM, SIEM Cloud) in praxisnahen Talks und Workshops, könnte das Interesse der Zielgruppe besser wecken.

 

Fazit

Cloud-Sicherheit wird in Konferenzen und Ausbildung trotz ihrer enormen Relevanz oft vernachlässigt. Die Breite, Komplexität und hohen Kosten erschweren die Popularisierung des Themas. Doch mit angepassten Bildungsansätzen, einer Vielfalt an Diskussionsthemen und engeren Partnerschaften mit der Industrie, lässt sich die Cloud-Sicherheit besser in das Cybersicherheits-Ökosystem integrieren – und die Lücke schliessen.

Autor

Nicolas Bessi | © Nicolas Bessi
Nicolas Bessi

Karriere

Sie sind daran interessiert, in einer inspirierenden Umgebung zu arbeiten und sich unseren motivierten und multikulturellen Teams anzuschliessen?

München - Deutschland
Olten - Schweiz
zu allen Standorten
Cloud-Sicherheit: Das vernachlässigte Kind der Cybersicherheit?
Nach dem Besuch mehrerer Cybersicherheitskonferenzen, zuletzt der Insomni’Hack 2025, wurde ein Paradoxon besonders deutlich: Obwohl mehr als die Hälfte aller Unternehmenssysteme und ein Grossteil des Internets auf Cloud-Infrastrukturen basieren, sind Themen wie Cloud-Sicherheit in Diskussionen, Konferenzen, CTFs und Workshops nach wie vor stark unterrepräsentiert.
Mehr erfahren
Erfolgreicher Go-Live: Alloboissons transformiert den Getränkegrosshandel mit Camptocamp und Odoo
Alloboissons, einer der führenden Getränkehändler, ist erfolgreich auf Odoo live – und wir freuen uns, Teil dieses Meilensteins zu sein! Dieses Projekt unterstreicht unsere umfassende Expertise in der Getränkeindustrie sowie unsere Fähigkeit, komplexe betriebliche Herausforderungen mit dem flexiblen ERP-System von Odoo zu meistern.
Mehr erfahren
GeoNetwork-ui Code Sprint in Berlin
Ende Januar organisierten wir den ersten GeoNetwork-ui Code Sprint in unseren Berliner Büros. Wir waren etwa 15 Personen aus verschiedenen Ländern, Unternehmen und mit unterschiedlichen Hintergründen – größtenteils Entwickler, aber auch Architekten, Product Owner und Projektmanager.
Mehr erfahren